如果单说风险管理的话,这个范围包含的内容太广了,不是简简单单一篇文章可以介绍完的。本篇暂时先不对风险管理进行过多展开,只是稍作介绍引出信息安全风险评估,因为风险评估在信息安全领域,占有非常重要的位置。
一、如何理解风险管理?
如何理解“管理”在《关于管理的定义与解释》中已经很详细的阐述过了,风险管理当然不例外也是属于管理范畴,只是加了定语后管理的对象与范围限定在风险管理领域了。
那么如何理解风险呢?通俗的讲,风险是在某一个特定时间段里,人们所期望达到的目标与实际出现的结果之间产生的距离称之为风险。在通俗点的话,风险就是不确定性,通常不确定性给人带来不安与担心。
风险的不确定性有两种,一种定义强调了风险表现为不确定性,简单点说就是风险带来的可能是损失,也可能是收益,但结果是不确定的;另一种定义则强调风险表现为损失的不确定性,简单点说就是风险只会带来损失,但风险程度、损失大小是不确定的。
基于上面的理解,“风险”比较讨厌,所以需要管理。怎么管理呢?通过管理程序或活动来控制风险,减少对希望达到目标所带来的影响。
二、风险管理与风险控制有什么不同?
风险控制是风险管理的一种手段。风险管理=风险识别+风险控制+风险监测。简单来说:
1、风险识别是发现、分析、评估风险,即要知道哪里有风险、有什么风险,风险程度如何。
2、风险控制是将风险控制在可接受程度之内,有四种手段:
- 风险接受:风险在可承受的范围之内,暂时不需要处理,但需要关注并监测趋势发展。
- 风险降低:通过各种手段去降低产生风险的要素,将风险降低到预期水平。
- 风险规避:一种特殊的处理风险的方式,即将产生风险的要素彻底消除,风险便随之消除。
- 风险转移:通过购买保险、转移给供应商等手段将风险的损失转嫁出去,但风险管理责任不能转移。
3.风险监测是利用量化的关键风险指标来统计、分析风险的发展趋势,进行风险的预测与预警。
三、信息安全风险管理相关的几个概念
基于《关于管理的定义与解释》、《信息安全内涵与外延》两篇文章和上述的内容,信息安全风险管理已经非常容易理解了。但为了后续介绍信息安全风险评估方法论,还是需要把信息安全风险管理的一些概念引出来
- 资产(Asset):对组织有价值的任何东西。
- 威胁(Threat):可能对资产或组织造成损害的某种安全事件发生的潜在原因,通常需要识别出威胁源或威胁代理。
- 弱点(Vulnerability):也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。
- 可能性(Likelihood):对威胁发生几率或频率的定性描述。
- 影响(Impact):意外事件发生给组织带来的直接或间接的损失或伤害。
- 安全措施(Safeguard):控制措施或对策,即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。
- 残留风险(Residual Risk):在实施安全措施之后仍然存在的风险。
信息安全风险管理要素之间的关系,可以用下图来表
四、最后再简单地总结一下
第一,所谓的风险管理,就是不断地评估风险、不断地消减风险、不断地接受风险这样的一个闭环。
第二,所谓的信息安全管理,就是基于所面临安全风险,不断地进行自我改进与提高的过程,所以我们也常说信息安全是基于风险的管理。
第三,风险只能控制,可以降低,却不能消除,没有所谓的绝对安全,不存在真正意义的零风险。